En los últimos doce meses muchas empresas del sector retail han vivido la pesadilla de un ataque de ransomware: ver sistemas paralizados, datos bloqueados, clientes inquietos y la presión de una decisión crítica: ¿pagar o no pagar? En el reporte “State of Ransomware in Retail 2025” de Sophos se revela que el 58 % de los minoristas que sufrieron la encriptación de sus datos decidieron pagar el rescate para recuperarlos.
He visto esta realidad como consultor durante más de 30 años, acompañando empresas desde Colombia hasta Latinoamérica en procesos de transformación: el riesgo no es solo tecnológico, es estratégico, humano e institucional. Entender por qué tantas organizaciones optan por pagar, y cómo podrían evitarlo, es clave para fortalecer su resiliencia digital y operativa.
👉 LEE NUESTRO BLOG, para descubrir cómo convertir el peligro en oportunidad real.
¿Por qué entonces la decisión de pagar se vuelve tan habitual? Primero, cuando los datos están cifrados y la operación paralizada, la presión interna de directivos, proveedores, clientes y hasta reguladores es brutal. El tiempo de recuperación se convierte en un acelerador de decisiones. El mismo reporte indica que las demandas de rescate se duplicaron, alcanzando una mediana de 2 millones de US$ en 2025, frente al año anterior. Para un retailer, el coste tangencial de estar fuera de servicio puede superar fácilmente ese monto: pérdida de ventas, clientela que se va, multas regulatorias, deterioro de marca.
En segundo lugar, los esquemas de respaldo y recuperación siguen siendo débiles. En el mismo estudio se señala que sólo el 62 % de los retailers que fueron atacados restauraron datos a partir de backups: la cifra más baja en cuatro años. En Latinoamérica esa debilidad se acrecienta por infraestructuras fragmentadas, falta de asignación clara de responsabilidades y escasa visibilidad de los activos digitales. En Colombia, por ejemplo, si bien no tenemos exactamente la misma tasa, la tendencia apunta a que muchas organizaciones aceptan el rescate porque “es la ruta más rápida” ante la presión del negocio.
Permíteme ilustrar con un ejemplo que viví recientemente con un cliente del sector retail en Colombia. El negocio tenía presencia en varias ciudades, sus ventas dependían tanto del comercio físico como de la plataforma e-commerce. Un ataque de ransomware bloqueó el acceso a la plataforma online en plena temporada alta. Descubrieron que la infección vino por un software de acceso remoto que no estaba actualizado, combinado con credenciales reutilizadas en otro sistema. A pesar de tener backups, la calidad de éstos era deficiente: no se comprobaban regularmente, estaban en la misma red y acabaron también cifrados. Ante la presión de los días sin ventas, se decidió pagar el rescate. ¿Resultado? Recuperaron parcialmente los datos, pero el coste operativo, reputacional y de cumplimiento fue mucho mayor del monto del rescate en sí. Además, el negocio perdió la confianza de varios proveedores que exigieron nuevas garantías.
Este escenario es cada vez más común: pagar el rescate no asegura una recuperación completa. El estudio también advierte que aunque la tasa de cifrado en retail bajó al 48 % (el nivel más bajo en cinco años), los grupos de adversarios están adaptándose. Al mismo tiempo, el pago promedio subió un 5 % respecto al año anterior: de 950.000 US$ a 1 millón US$ en 2025. Esto significa que el riesgo no sólo está en ser víctima, sino en la magnitud del impacto.
Desde una mirada práctica —y como parte del modelo estratégico 2026–2030 que impulsamos en TODO EN UNO.NET— mi consejo a las empresas de retail es que entiendan esta cifra del 58 % como una llamada de atención y una ventana de oportunidad. No se trata de sembrar miedo, sino de plantear funcionalidad: tecnología aplicada, sí; pero solo cuando aporta control real, visibilidad, resiliencia y capacidad de decisión.
Primero, el diagnóstico es inevitable: ¿cuáles son mis activos críticos, dónde están mis brechas visibles e invisibles, qué tan robustos son mis respaldos y cuál es mi plan de recuperación? Esta visión es algo que acompaño en mis consultorías, porque sin ella muchas empresas simplemente reaccionan, cuando lo mejor es anticipar.
Segundo, la definición estratégica: establecer una arquitectura operativa que integre automatización, detección continua, monitoreo y respuesta. No como un ejercicio de “tener tecnología”, sino de lograr que cada componente funcione en conjunto para mitigar riesgos, reducir tiempos de recuperación y volver el negocio más ágil. En esta fase invito a involucrar equipos de TI, operaciones, negocio y cumplimiento, porque el ransomware no es solo un problema de tecnología: es un problema de negocio.
Tercero, la ejecución funcional: implementar soluciones que permitan segmentación de redes, acceso mínimo (least privilege), actualizaciones sistemáticas, backups aislados, pruebas de reanudación de negocio, vigilancia de terceros y proveedores, e incluso seguros cibernéticos evaluados dentro de una estrategia integral. Durante esta etapa el acompañamiento externo marca la diferencia: estar alineados con expertos permite acelerar la madurez y evitar reinventar errores.
En Colombia y en Latinoamérica las regulaciones en materia de protección de datos, continuidad de negocio y ciberseguridad están evolucionando. Las empresas de retail que logren alinear su cumplimiento con estándares internacionales (por ejemplo, ISO 27001, ISO 22301, buenas prácticas NIST) y adaptarse a la realidad local ganarán ventaja competitiva. No se trata solo de evitar pagar un rescate, sino de convertir la ciberseguridad en un activo que genera confianza para clientes, socios y mercados.
Ahora bien, ¿qué debe hacer una empresa que ya fue víctima y está considerando si pagar o no pagar? Debe evaluar tres factores críticos de forma simultánea: la integridad del respaldo, la posibilidad de recuperación por otras vías, y la legitimidad de negociar con los atacantes (algo controvertido y sujeto a regulaciones locales). Mi experiencia me dice que muchas empresas subestiman el coste oculto de pagar: negociación, provisión de criptomonedas, asesoría legal, posible sanción regulatoria, pérdida de reputación, fuga de clientes y la posibilidad de quedar expuestas a un nuevo ataque. El reporte indica que el 59 % de los atacados que pagaron lo hicieron por menos de la demanda original. Pero pagar no garantiza el retorno a la normalidad.
Para los retailers que aún no han sido afectados, el mensaje es claro: no esperen a estar en modo crisis para invertir en resiliencia. El hecho de que solo el 48 % de los ataques resultaran en cifrado es alentador, pero no significa que el riesgo haya desaparecido. Lo que significa es que los adversarios están cambiando de táctica: si no pueden cifrar, extorsionan mediante robo de datos, amenazas públicas o interrupción de negocio. Preparemos la empresa para un entorno en el que ya no solo se paga con dinero, sino con información, reputación y confianza.
En el contexto colombiano, aunque no hay cifras públicas exactas al nivel global, el entorno regulatorio exige rapidez de acción. La Ley 1581 de 2012 de protección de datos personales, la Ley 1266 de 2008 sobre información financiera, y el marco de continuidad del negocio son piezas que no podemos ignorar. Convertir un incidente de ransomware en un reporte regulatorio es algo que muchas organizaciones afrontan sin preparación. Esto también refuerza la necesidad de abordarlo desde una visión integral: tecnología, procesos, personas y cumplimiento.
La transformación digital funcional que promovemos en TODO EN UNO.NET durante el período 2026-2030 sostiene que trabajar solo en tecnología es un error. Necesitamos que cada plataforma, cada sistema y cada servicio genere valor claro, medible, en cumplimiento, agilidad y seguridad. En el mundo del retail, eso significa poder seguir vendiendo, moviendo mercancía, entregando experiencia al cliente, aunque un ataque ocurra. Una buena estrategia de recuperación y continuidad es lo que marca la diferencia entre pagar un rescate o superarlo.
Cuando lidero las sesiones estratégicas con mis clientes, insisto en que “la decisión de no pagar” debe venir acompañada de “la capacidad de no necesitar pagar”. Ese es el nivel de madurez que buscamos. Porque, en última instancia, la tecnología debe estar al servicio de la funcionalidad del negocio, no al revés.